eNSP防火墙任务配置
web页面登陆配置
拓扑图
Cloud1相关配置,对出入编号进行配置,我选择WLAN网卡进行配置
<USG6000V1>sys #进入系统视图
[USG6000V1]sys NGFW #配置设备名称
[NGFW]dis ip int brief #显示虚拟接口对应的IP地址与使用状态
[NGFW]int g0/0/0 #进入端口GE0/0/0
[NGFW-GigabitEthernet0/0/0]ip add 172.89.209.137 24 #端口出配置IP地址
[NGFW-GigabitEthernet0/0/0]service-manage all permit #开启服务器管理员权限
[NGFW-GigabitEthernet0/0/0]dis ip int brief在主机上使用PING命令 ( ping 172.89.209.137)
登陆进入网站,需求实现成功
基于IP地址的转发策略
拓展图:
第一步:配置防火墙各接口的IP地址
[USG6000V1-GigabitEthernet1/0/1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.5.1 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 1.1.1.1 24
[USG6000V1-GigabitEthernet1/0/1]q第二步:将防火墙的GE1/0/0接口加入Trust区域
[USG6000V1]firewall zone trust #进入trust区域
[USG6000V1-zone-trust]add int g1/0/0
[USG6000V1-zone-trust]q第三步:将防火墙的GE1/0/1接口加入Untrust 区域
[USG6000V1]firewall zone untrust #进入untrust区域
[USG6000V1-zone-untrust]add int g1/0/1
[USG6000V1-zone-untrust]q配置ip_deny的地址集
[USG6000V1]ip address-set ip_deny type object 将不允许通过防火墙的IP地址加入ip_deny的地址集
[USG6000V1-object-address-set-ip_deny]address 192.168.5.2 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.3 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.3 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.6 0
[USG6000V1-object-address-set-ip_deny]q创建不允许通过防火墙IP转发策略
[USG6000V1]security-policy //安全策略
[USG6000V1-policy-security]rule name policy_deny
[USG6000V1-policy-security-rule-policy_deny]source-address address-set ip_deny
[USG6000V1-policy-security-rule-policy_deny]action deny
[USG6000V1-policy-security-rule-policy_deny]q创建允许属于192.168.5.0/24这个网段的IP地址通过防火墙的转发策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name polity_permit
[USG6000V1-policy-security-rule-polity_permit]source-address 192.168.5.0 24
[USG6000V1-policy-security-rule-polity_permit]action permit
[USG6000V1-policy-security-rule-polity_permit]q双机热备技术实验
防火墙1
配置步骤-CLI
① 完成 USG6330-1 上、下行业务接口的配置。配置各接口 IP 地址并加入相应安全区域。
<USG6000V1>sys
[USG6000V1]int G1/0/1
[USG6000V1-GigabitEthernet1/0/1] ip add 10.1.2.1 255.255.255.0
[USG6000V1-GigabitEthernet1/0/1]q
[USG6000V1]int G1/0/4
[USG6000V1-GigabitEthernet1/0/4] ip add 40.1.1.1 255.255.255.0
[USG6000V1-GigabitEthernet1/0/4]q
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust]add interface G1/0/1
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface G1/0/4
[USG6000V1-zone-untrust]q
②配置接口G1/0/4 的备份组1,并加入到状态Active的VGMP管理组
[USG6000V1]int G1/0/4
[USG6000V1-GigabitEthernet1/0/4]vrrp vrid 1 virtual-ip 2.2.2.1 255.255.255.0 a
ctive
[USG6000V1-GigabitEthernet1/0/4]q③配置接口 GigabitEthernet 1/0/1 的 VRRP 备份组 2,并加入到状态为 Active 的 VGMP
管理组。
[USG6000V1]int G1/0/1
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.1.2.3 24 active
[USG6000V1-GigabitEthernet1/0/1]q
④完成 USG6330-1 的心跳线配置,配置 GigabitEthernet1/0/3的 IP 地址。
[USG6000V1]int G1/0/3
[USG6000V1-GigabitEthernet1/0/3]ip address 30.1.1.1 255.255.255.0
[USG6000V1-GigabitEthernet1/0/3]q
⑤配置 GigabitEthernet1/0/3 加入 DMZ 区域。
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add interface G1/0/3
[USG6000V1-zone-dmz]q指定G1/0/3为心跳口
[USG6000V1]hrp interface G1/0/3 remote 30.1.1.2⑥配置 Trust 区域和 Untrust 区域的域间转发策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_sec
[USG6000V1-policy-security-rule-policy_sec]source-zone trust
[USG6000V1-policy-security-rule-policy_sec]action permit
[USG6000V1-policy-security-rule-policy_sec]q
[USG6000V1-policy-security]q
⑦开启HRP备份功能
[USG6000V1]hrp enable防火墙二修改对应端口即可
防火墙二层三层通信
实验需求:
1、6台PC机互通
- 防火墙利用三层vlanif通信功能
- PC5和PC6通过单臂路由技术实现互通
- 防火墙划分6个新的区域并应用
实验配置:
防火墙上:
步骤一:实现二层通信(1/0/0到1/0/4接口通信)
防火墙配置
1、创建vlan
vlan batch 10 20 30 402、接口允许VLAN通信
interface GigabitEthernet1/0/1portswitchundo shutdownport link-type accessport default vlan 40
#
interface GigabitEthernet1/0/2portswitchundo shutdownport link-type accessport default vlan 30
#
interface GigabitEthernet1/0/3portswitchundo shutdownport link-type accessport default vlan 10
#
interface GigabitEthernet1/0/4portswitchundo shutdownport link-type accessport default vlan 20interface Vlanif10ip address 192.168.10.1 255.255.255.0
#
interface Vlanif20ip address 192.168.20.1 255.255.255.0
#
interface Vlanif30ip address 192.168.30.1 255.255.255.0
#
interface Vlanif40ip address 192.168.40.1 255.255.255.0
#
步骤二、实现三层通信(单臂路由)
1、创建子接口
interface GigabitEthernet1/0/0.1vlan-type dot1q 60ip address 192.168.60.1 255.255.255.0
#
interface GigabitEthernet1/0/0.2vlan-type dot1q 55ip address 192.168.55.1 255.255.255.0
#
步骤三、接口加区域(注意加区域的是三层接口)
firewall zone trustadd interface Vlanif10add interface Vlanif20
add interface Vlanif30
add interface Vlanif40
add interface GigabitEthernet1/0/0.1
add interface GigabitEthernet1/0/0.2
#
交换机配置
1、创建vlan
vlan batch 55 60
#
interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 55 60
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 55
#vp
interface GigabitEthernet0/0/3port link-type accessport default vlan 60
测试结果
eNSP防火墙任务配置相关推荐
- ensp防火墙简单配置
ensp防火墙配置 小型局域网的相关配置在我这条博客中可以查考一下:https://blog.csdn.net/miss_miss6/article/details/105608443 这里就没有再去 ...
- 华为eNSP防火墙基本配置命令
VRP命令行 VRP系统命令采用分级保护方式,命令被划分为参观级.监控级.配置级.管理级4个级别. 参观级:网络诊断工具命令(ping.tracert).从本设备出发访问外部设备的命令(包括:Teln ...
- ensp——防火墙安全策略配置实验
目录 一.实验环境 实验拓扑图 二.防火墙配置 Cloud云: 启动防火墙: 登陆后: 三.拓扑设备配置 PC1: client1: sever1: PC2: 四.配置路由器接口 五.创建地址对象 六 ...
- 华为eNSP防火墙NAT配置
NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过少量的公网IP地址来访问公网. NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过 ...
- 华为模拟器eNSP防火墙向导配置
按照下图配置即可: 配置完成后,只需要在R1上在做一条指向防火墙的缺省路由即可 R1: sys sysname R1 ip route-static 0.0.0.0 0 192.168.0.1 dis ...
- ensp防火墙基础配置
实验拓扑 配置Cloud模块,进行配置,绑定虚拟网卡即可 进入防火墙,与cloud模块相连的端口进行如下配置,之后登录防火墙配置防火墙端口IP 在web界面中,找到策略->安全策略,新建策略,配 ...
- ensp 防火墙简单配置
本次实验使用PC:1 服务器:2 client:1 交换机:1 为s3700 防火墙:1 为USG6000V beta版本 (使用该设备需要虚拟镜像) 1. 访问防火墙接口 当配置好了IP地址后发现访 ...
- 华为eNSP实验-防火墙模拟配置(采用ping命令逐步分析)
ensp防火墙模拟配置-采用ping命令逐步分析 1.各设备的IP地址配置. 按如图所示配置好各个设备对应的IP地址. 注意点: 1.图中cloud2云处需要关联电脑上对应的虚拟网卡. 2.实验中我使 ...
- 华为eNSP防火墙USG5500基本配置
华为eNSP防火墙USG5500基本配置 实验设备 防火墙采用eNSP自带USG5500,不需要导入操作系统:eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统.交换机采用的是5 ...
最新文章
- 管理员技术(六): 硬盘分区及格式化、 新建一个逻辑卷、调整现有磁盘的分区、扩展逻辑卷的大小、添加一个swap分区...
- WPF 仿IPhone滑块开关 样式 - CheckBox
- 【复习】---【noip2009 普及】细胞问题 (1)
- linux4.19安装教程,树莓派4安装Ubuntu 19.10的教程详解
- 逐步优化求解最大子序列和
- 打印最少硬币的组合-dp+记录路径
- Java 异常处理机制
- Pytorch(1)-内置/自己设计的损失函数使用
- cmd代码表白_手把手教你把Python代码转成exe
- 最悲剧的HTML5 API : Position地理位置
- 戴文的Linux内核专题:07内核配置(3)
- 用Python学《微积分B》(Fourier级数)
- 卷积神经网络模型之——VGG-16网络结构与代码实现
- PHP虚拟素材资源站源码带支付,素材火源码二开版带码支付源码可以做虚拟资源或源码下载网...
- 百度有啊前端技术初窥
- 计算机主机与显示屏如何接线,主机跟显示器怎么连接
- 常用的数量统计量的计算及统计意义
- JqGrid 表格基本使用(一)
- 高校bbs及科研论坛
- 如何更简单的使用Polly